Попал я вот на такую каку, никак от нее не могу избавиться. Нод обнаруживает, кидает в карантин, просит перезагрузку. Комп перезагружается и все по новому. Помогите пожалуйста, как можно избавиться от этой бяки. Заранее большое спасибо!
Printable View
Попал я вот на такую каку, никак от нее не могу избавиться. Нод обнаруживает, кидает в карантин, просит перезагрузку. Комп перезагружается и все по новому. Помогите пожалуйста, как можно избавиться от этой бяки. Заранее большое спасибо!
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\twex.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\KCOM.SYS','');
QuarantineFile('C:\WINDOWS\system32\wmmest.dll','');
DeleteFile('C:\WINDOWS\system32\wmmest.dll');
DeleteFile('C:\WINDOWS\system32\drivers\KCOM.SYS');
DeleteFile('C:\WINDOWS\system32\twex.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=41473[/url]).
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
Бяка по прежнему осталась.
Логи 2 и 3.
Пришлите нам файл C:\WINDOWS\system32\userinit.exe в соответствии с правилами.
[size="1"][color="#666686"][B][I]Добавлено через 51 секунду[/I][/B][/color][/size]
Скачайте [URL="http://www.gmer.net/gmer.zip"]Gmer.[/URL] Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.
Удалите файл [B]C:\WINDOWS\system32\wmmest.dll[/B] с помощью Ice Sword, как написано здесь: [url]http://virusinfo.info/showthread.php?t=17228[/url]. Не перезагружаясь, сразу после этого выполните скрипт в AVZ:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\wmmest.dll');
BC_DeleteFile('C:\WINDOWS\system32\wmmest.dll');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Компьютер перезагрузится.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
[quote=Aleksandra;370275]Пришлите нам файл C:\WINDOWS\system32\userinit.exe в соответствии с правилами.
[SIZE=1][COLOR=#666686][B][I]Добавлено через 51 секунду[/I][/B][/COLOR][/SIZE]
Скачайте [URL="http://www.gmer.net/gmer.zip"]Gmer.[/URL] Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) под каким хотите именем, например Gmer.log и прикрепите лог сюда.[/quote]
Вот лог от Gmer. Какие шаги дальше делать?:>
логи авз повторите ...
1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('%Windir%\expmodule.exe','');
DeleteFile('%Windir%\expmodule.exe');
DeleteFile('C:\WINDOWS\system32\wmmest.dll');
DeleteFileMask('%tmp% ','*.* ',true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegSearch('HKLM', '', 'Winlogo2');
SaveLog(GetAVZDirectory + 'avz.log');
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно [B]приложению 3[/B] [URL="http://virusinfo.info/showthread.php?t=1235"]правил.[/URL]
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=41473[/url]
3. Повторите логи + avz.log
[quote=V_Bond;373277]логи авз повторите ...[/quote]
Вот логи...
Зловред на месте. Выполняйте мой скрипт.
[quote=Aleksandra;373322]Зловред на месте. Выполняйте мой скрипт.[/quote]
Да, я просто выложил запрошеные ранее логи. Сразу после этого выполнил ваш скрипт, компьютер перезагрузился, Вход в систему (Приветствие) длилось дольше обычного, после этого пустой синий экран, в итоге все таки виндовс загрузился. Больше табличек с криками о зловреде нод не выкидывает! Сейчас сделаю логи АВЗ. :>
[quote=Aleksandra;373322]Зловред на месте. Выполняйте мой скрипт.[/quote]
Логи.
Еще прикрепите avz.log.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]8[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\expmodule.exe - [B]Trojan-Dropper.Win32.Agent.aiyj[/B]( DrWEB: Trojan.DownLoad.30717, BitDefender: Gen:Trojan.Heur.0030517777 )[/LIST][/LIST]